Uma falha de segurança permite que qualquer usuário local instale pacotes como root em distribuições Linux sem necessidade de autenticação. A vulnerabilidade afeta as versões de 1.0.2 a 1.3.4 e foi confirmada em sistemas como Ubuntu, Debian, Fedora e RockyLinux.
Recentemente, uma vulnerabilidade crítica descoberta no PackageKit possibilita que usuários comuns de sistemas Linux realizem a instalação ou remoção de pacotes como se fossem administradores.
Nomeada de Pack2TheRoot e classificada como CVE-2026-41651, essa falha possui uma pontuação CVSS 3.1 de 8.8. A divulgação ocorreu após a devida coordenação com os mantenedores das distribuições afetadas.
O PackageKit serve como uma camada intermediária que facilita a gestão de pacotes de software em várias distribuições Linux por meio de uma interface unificada, sendo responsável pela instalação e remoção de aplicativos, inclusive a partir de interfaces gráficas.
Exploração facilitada
O problema reside no gerenciamento de permissões do PackageKit durante uma instalação. O processo normal requer autorização do usuário antes de qualquer pacote ser instalado, mas a falha permite contornar essa etapa.
A vulnerabilidade ocorre porque o sistema verifica as permissões em um momento, mas realiza a leitura das verdadeiras permissões em outro. Um atacante pode alterar os valores entre esses dois pontos.
Assim, quando a instalação ocorre, o sistema utiliza as permissões manipuladas pelo invasor, permitindo a instalação de qualquer pacote como root, incluindo scripts maliciosos, sem exigir senha ou autenticação.
Superfície de ataque ampla
Todas as versões do PackageKit entre 1.0.2 e 1.3.4 foram confirmadas como vulneráveis, com a primeira liberada há mais de 12 anos. Pesquisadores acreditam que a vulnerabilidade pode existir desde a versão 0.8.1, aumentando a exposição para 14 anos.
A exploração foi validada em instalação padrão de Ubuntu Desktop 18.04, 24.04.4 e 26.04, Ubuntu Server 22.04 a 24.04, Debian Desktop Trixie 13.4, RockyLinux Desktop 10.1 e Fedora 43 Desktop e Server.
A equipe de Red Team da Deutsche Telekom, responsável pela descoberta da vulnerabilidade, alerta que qualquer distribuição que utilize o PackageKit e tenha-o habilitado deve ser considerada vulnerável. Isso inclui servidores que utilizam o projeto Cockpit, que depende do PackageKit. Sistemas Red Hat Enterprise Linux também se enquadram nesse contexto.
Uso de IA na descoberta
A vulnerabilidade foi identificada pela equipe Red Team da Deutsche Telekom durante uma pesquisa focada na escalada de privilégios em sistemas Linux contemporâneos, utilizando o modelo Claude Opus da Anthropic como ferramenta de apoio.
De acordo com os pesquisadores, o modelo foi direcionado para uma análise específica, e as descobertas foram revisadas e confirmadas manualmente antes de serem comunicadas de forma responsável.
Rastreamento de exploração
A falha é aproveitável em questão de segundos, mas deixa vestígios. Após a exploração, o daemon do PackageKit falha e trava. O sistema o reinicia automaticamente, evitando interrupções visíveis para o usuário. O crash é registrado nos logs e pode ser verificado através do comando journalctl –no-pager -u packagekit | grep -i emitted_finished.
Para verificar se seu sistema é vulnerável, utilize o comando dpkg -l | grep -i packagekit em distribuições Debian e Ubuntu ou rpm -qa | grep -i packagekit em Fedora e RHEL. A correção está disponível na versão 1.3.5 do PackageKit, com atualizações já distribuídas por Debian, Ubuntu e Fedora a partir de 22 de abril de 2026.
Acompanhe o TecMania nas redes sociais. Para mais atualizações sobre segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.